安全公告/【CVE-2022-21682】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:中危
影响源码包:flatpak
CVSS评分:6.5
发现日期:2024-09-19
修复日期:2024-09-30
修复版本:flatpak-builder-1.0.9-3.02

漏洞描述

Flatpak 是一个 Linux 应用程序沙盒和分发框架。路径遍历漏洞会影响 1.12.3 和 1.10.6 之前的 Flatpak 版本。flatpak-builder 在构建的最后应用 `finish-args`。此时,构建目录将具有清单中指定的完全访问权限,因此对其运行 `flatpak build` 将获得这些权限。通常不会这样做,所以这不是问题。但是,如果指定了 `--mirror-screenshots-url`,则 flatpak-builder 将在完成后启动 `flatpak build --nofilesystem=host appstream-utils mirror-screenshots`,即使有 `--nofilesystem=host` 保护,也会导致问题。在正常使用中,唯一的问题是这些空目录可以在用户具有写权限的任何地方创建。但是,恶意应用程序可以替换 `appstream-util` 二进制文件并可能执行更具恶意的操作。通过改变 `--nofilesystem=home` 和 `--nofilesystem=host` 的行为,该问题已在 Flatpak 1.12.3 和 1.10.6 中得到解决。

漏洞判定

执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复

修复方式

软件包升级
dnf  update flatpak

补丁

参考

https://github.com/flatpak/flatpak/security/advisories/GHSA-8ch7-5j3h-g4fx;https://github.com/flatpak/flatpak/commit/4d11f77aa7fd3e64cfa80af89d92567ab9e8e6fa;https://github.com/flatpak/flatpak/commit/445bddeee657fdc8d2a0a1f0de12975400d4fc1a;https://www.debian.org/security/2022/dsa-5049;https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/APFTBYGJJVJPFVHRXUW5PII5XOAFI4KH/;https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/IXKBERLJRYV7KXKGXOLI6IOXVBQNN4DP/;https://security.gentoo.org/glsa/202312-12